Накануне корпорация Microsoft сообщила об обнаружении фактов использования хакерами недавней уязвимости в приложениях для веб-разработки.
Новая уязвимость дает взломщикам возможность получить доступ к файлам паролей и прочей личной информации пользователя, которая может быть перехвачена или подменена — пишет cybersecurity.ru.
Уязвимость обнаружена в модуле шифрование данных приложений ASP.Net. В минувшую пятницу Microsoft выпустила временную «заплатку» для этого бага, при помощи которого можно было произвести атаку криптосистемы. Фикс исключал возможность дешифрования защищенных данных путем отправки на сервер-жертву большого количества специальным образом сконструированных запросов.
Также в Microsoft предупредили о возможной уязвимости других веб-приложений, которые используют стандартные методы защиты ASP.Net для хранения паролей и стандартные коннекторы для баз данных или прочих сведений в объекте ViewState.
Уязвимость реализуется путем отправки на сервер-жертву большого количества поврежденных данных с последующим анализом данных об ошибках. Эта информация может позволить атакующему вычислить действующий ключ шифрования. Временный фикс заставляет все приложения выдавать стандартное сообщение об ошибке даже в случае принятия от хакера различных типов ошибочных сообщений
Подробные сведения об уязвимости доступны по адресу http://weblogs.asp.net/scottgu/archive/2010/09/18/important-asp-net-security-vulnerability.aspx